Mozilla Firefox 97.0.2 がリリース:深刻なゼロデイ脆弱性を FIX

Mozilla Firefox 97.0.2 fixes two actively exploited zero-day bugs

2022/03/06 BleepingComputer — Mozilla は、Firefox 97.0.2/Firefox ESR 91.6.1/Firefox for Android 97.3.0/Focus 97.3.0 をリリースし、活発に悪用されている2つの深刻なゼロデイ脆弱性を修正した。どちらのゼロデイ脆弱性も、Use-after-free バグであり、過去に消去されたメモリがプログラムから使用されてしまうものだ。このタイプのバグの悪用に成功した脅威アクターに対して、プログラムがクラッシュすると同時に、デバイス上でのコマンド実行を許す可能性が生じる。

Continue reading “Mozilla Firefox 97.0.2 がリリース:深刻なゼロデイ脆弱性を FIX”

Linux Kernel cgroups に存在するコンテナ・エスケープの脆弱性 CVE-2022-0492 が FIX

CVE-2022-0492 flaw in Linux Kernel cgroups feature allows container escape

2022/03/06 SecurityAffairs — Linux カーネルの脆弱性 CVE-2022-0492 (CVSS: 7.0) にパッチが適用されたが、この脆弱性の悪用に成功した攻撃者には、コンテナをエスケープし、コンテナ・ホスト上で任意のコマンドを実行する可能性が生じる。この問題は、cgroups (control groups) と呼ばれるプロセスの集合体に関するリソース使用量 (CPU/メモリ/ディスクI/O/ネットワーク) を算出/分離/制限するための、Linux カーネルの機能に影響をおよぼす特権昇格の欠陥である。

Continue reading “Linux Kernel cgroups に存在するコンテナ・エスケープの脆弱性 CVE-2022-0492 が FIX”